如何在警报的监视时间段之外获取 Azure Log Analytics 中相应 IIS 停止日志的 IIS 启动日志
How to fetch IIS Start log for a corresponding IIS Stop log in Azure Log Analytics outside of Alert's monitoring time period
我正在配置 Azure Log Analytics 警报(使用 KQL)以捕获我的 OMS 工作区中的 IIS 停止和启动事件(来自 Events table),如果警报查询发现没有从特定 IIS 停止事件日志的 PaaS 角色生成的相应 IIS 启动事件日志 - 用户应该收到警报通知,以便他可以恢复 IIS。
问题: 假设我将警报设置为 运行,时间段和频率为 15 分钟。如果警报在 10:30AM 触发,这意味着它将扫描从 10:15:01 AM 到 10:29:59 AM 的 IIS 日志。现在,假设 IIS 停止事件在 10:28 AM 左右登录,然后相应的 IIS 启动日志(如果有)将在 10:31AM 或 10:32 AM 几分钟后登录– 因此它将超出警报的监视时间段。这将创建误报失败场景。 (IIS 重新启动,但我的警报没有捕获启动事件日志)。因此,它可能会导致对我的 PaaS 角色进行一些不必要的 IIS Start/Reset 操作。
附上有代表性的速写,形象地说明一下。
如果有任何可能的方法来实现这一点,请告诉我。欢迎提出任何建议。提前致谢!
当前实现如下。
在这里我们可以看到在 10:30.
处生成了错误警报
您可以看到下面的方法,其中我们每 5 分钟 select 最后 10 分钟的数据(重叠)。
对于以下情况,您可以生成警报
看看对你有没有帮助。
我正在配置 Azure Log Analytics 警报(使用 KQL)以捕获我的 OMS 工作区中的 IIS 停止和启动事件(来自 Events table),如果警报查询发现没有从特定 IIS 停止事件日志的 PaaS 角色生成的相应 IIS 启动事件日志 - 用户应该收到警报通知,以便他可以恢复 IIS。
问题: 假设我将警报设置为 运行,时间段和频率为 15 分钟。如果警报在 10:30AM 触发,这意味着它将扫描从 10:15:01 AM 到 10:29:59 AM 的 IIS 日志。现在,假设 IIS 停止事件在 10:28 AM 左右登录,然后相应的 IIS 启动日志(如果有)将在 10:31AM 或 10:32 AM 几分钟后登录– 因此它将超出警报的监视时间段。这将创建误报失败场景。 (IIS 重新启动,但我的警报没有捕获启动事件日志)。因此,它可能会导致对我的 PaaS 角色进行一些不必要的 IIS Start/Reset 操作。
附上有代表性的速写,形象地说明一下。
如果有任何可能的方法来实现这一点,请告诉我。欢迎提出任何建议。提前致谢!
当前实现如下。
在这里我们可以看到在 10:30.
处生成了错误警报您可以看到下面的方法,其中我们每 5 分钟 select 最后 10 分钟的数据(重叠)。
对于以下情况,您可以生成警报
看看对你有没有帮助。